黑客的入侵会造成数据的丢失﹐系统的损坏﹐以及经济的损失等等。同时﹐跟踪黑客使你能对信息的流失采取适当的方法弥补。那么﹐如何追踪黑客呢﹖只要有人和你的主机进行通讯(寄信或是telnet﹐ftp) 你就会知道对方的位址。如果对方是通过UNIX主机和你连线,可以透过“ident”命令查到是谁和你连线的。在实行TCP/IP通讯协定的电脑上,通常可以用“netstat”命令来看到目前连线的状况。
**记录系统的网路活动。
UNIX 系统的/var/adm下面有两个系统记录档案:syslog与messages,一个是一般系统的记录,一个是核心的记录。
系统的记录基本上都是由syslogd (System Kernel LogDaemon)来产生,而syslogd的控制是由 /etc/syslog.conf来做的。syslog.conf以两个栏位来决定要记录哪些东西,以及记录到哪边去。第一栏写“在什么情况下”以及“什么程度”。然后用TAB键跳下一栏继续写“符合条件后要做什么”。第一栏包含了何种情况与程度,中间 小数点分隔。另外,星号就代表了某一细项中的所有选项。
A) 设定“在什么情况下”以及“什么程度”下记录。
(1) 各种不同的情况以下面的字串来决定。
auth 关于系统安全与使用者认证方面
cron 关于系统自动排程执行(CronTable)方面
daemon 关于背景执行程式方面
kern 关于系统核心方面
lpr 关于印表机方面
mail 关于电子邮件方面
news 关于新闻讨论区方面
syslog 关于系统记录本身方面
user 关于使用者方面
uucp 关于UNIX互拷(UUCP)方面
(2) 各种不同的系统状况程度,依照轻重缓急排列。
none 不要记录这一项
debug 程式或系统本身除错讯息
info 一般性资讯
notice 提醒注意性
err 发生错误
warning 警告性
crit 较严重的警告
alert 再严重一点的警告
emerg 已经非常严重了
例如要记录 info等级的事件,则notice﹐ err.warning﹐crit﹐alert﹐emerg等在info等级以上的也会一并被记录下来。把上面所写的1﹐2项以小数点组合起来就是完整的 “要记录哪些东西”的写法。例如mail.info表示关于电子邮件传送系统的一般性讯息。auth.emerg就是关于系统安全方面相当严重的讯息。lpr.none表示不要记录关于打印机的讯息等等。
B) 有三种特殊的符号可供应用:
(1) 星号(*) 星号代表某一细项中所有项目。例如mail.*表示只要有关mail的,不管什么程度都要记录下来。而*.info会把所有程度为info的事件给记录下来。
(2) 等号(=) 等号表示只记录目前这一等级,其上的等级不要记录。例如上面的例子,平常写下info等级时,也会把位于info等级上面的notice﹐ err.warning﹐crit﹐alert﹐emerg等其他等级也记录下来。但若你写=info则就只有记录info这一等级了。
(3) 惊叹号(!) 惊叹号表示不要记录目前这一等级以及其上的等级。
C) 一般的syslogd都提供下列的管道以供您记录系统发生的什么事:
(1) 一般档案。指定好档案路径与档案名称,但必须以目录符号“/”开始,系统才会知道这是一个档案。例如﹐ /var/adm/maillog表示要记录到/var/adm下面一个称为maillog的档案。如果之前没有这个档案 ,系统会自动产生一个。
(2) 指定的终端机或其他设备。你也可以将系统记录写到一个终端机或是设备上。若将系统记录写到终端机,则目前正在使用该终端机的使 用者就会直接在萤幕上看到系统讯息(例如 /dev/console或是/dev/tty1.你可以拿一个萤幕专门来显示系统讯息 )。若将系统记录写到打印机,则你会有一长条印满系统记录的纸 (例如/dev/lp0)。
(3) 指定的使用者。你也可以在这边列出一串使用者名称,则这些使用者如果正好上线的话,就会在他的终端机上看到系统讯息( 例如root,注意写的时候在使用者名称前面不要再加上其他的字)。
(4) 指定的远端主机。这种写法不将系统讯息记录在连接本地机器上,而记录在其他主机上。如果你觉得某些情况下可能记录没办法存进硬碟里,你可以把系统记录写到其他的主机上。如果你要这样做,你可以写下主机名称,然后在主机名称前面加上“@”符号(例如 @ccunix1.variox.int,但被你指定的主机上必须要有syslogd)。
注意﹐在以上各种记录方式中,都没有电子邮件这项。因为电子信件要等收件者去收信才看得到, 有些情况可能是很紧急的, 没办法等你去拿信来看。
D) 快速找到重要的记录内容:
(1) 定期检查记录。如果有需要将旧的记录档备份,可以将过期的记录档依照流水号或是日期存起来,未来考察时也比较容易。
(2) 只记录有用的东西
**利用IP地址或Domain Name找出入侵者位置
A) IP地址的登记
IP地址的使用必须向InterNIC登记,而Domain Name要向当地直属的网路管理中心登记。 在Internet上的网路管理中心共有三个层级(单位性质一定为NET):
(1) 国际等级。国际等级只有InterNIC一个,全球各国的NIC以及洲际NIC均由其管理。
(2) 洲际等级。InterNIC并不直接管理整个Internet,其下的网路资源会再做分区。例如台湾、日本、香港等亚太地区国家,由亚太洲际网路管理中心(Asian-PacificNIC,APNIC,位于日本)来管理。
(3) 国家等级。Domain Name后面不挂国码的或是由InterNIC管理﹐或是由洲际的NIC管理。挂国码的由当地国家之NIC管理,惯例是两位国码加上NIC就是该国NIC之名称。例如中国的国码为CN,则中国网路管理中心为CNNIC。但由于InterNIC位于美国,因此美国的DomainName由InterNIC直辖。另外﹐特别的例外是挂.mil的美国军方网路的资料是由 ddn.mil(美国军事防卫网路)来管理,不由InterNIC管理。
B) 查找IP的来源
当您得到某个Domain Name或是IP地址后,可以使用“whois”来查出资料,语法如下:
whois -h<whois服务器><查询对象>
例如﹐查询hp.com,需输入: whois -h whois.internic.nethp.com whois
也可能使用下列语法:
whois <查询对象>@<whois服务器>
例如﹐查询ntu.edu.tw﹐需输入: whois [email protected]
C) Domain Name命名的三种情况
虽然同样是 Domain Name,可能你会遇到三种命名的不同情况。在许多国家*.edu.*是由NIC以外的单位所管理,而属性也不一定是三个字母,甚至没有属性。在判断单位性质时读者宜多加注意,以免找不到资料。
(1) 标准国码+三码属性码(或没有国码,仅有属性码)
普遍使用于欧洲,美洲国家以及部分东南亚国家。如台湾常见*.edu.tw、*.com.tw,美国的*.com、*.edu。
(2) 标准国码+二码属性码
以日本为例,公司属性为co,社团属性为or,和三码定义的com﹐org略有不同。如日本万代公司之Homepage 为www.bandai.co.jp,如果读者要使用公司名称拼凑出完整主机名称时,需注意日本为仅有两码属性码之地区,否则若猜测其 就会发生错误。
(3) 仅有标准国码,未有任何属性码
如澳洲的主机均为仅有*.au之主机名称,未有任何其他的com、co、或任何单位属性码后面直接接上单位名称 。
D) 由Domain Name查出连线单位资料
由Domain Name查出连线单位资料在Internet上惯例由whois服务来查询连线单位的登记资料。惯例是whois+NIC名称+net。例如亚太地区网路管理中心whois server为whois.apnic.net,台湾网路中心 whois server为whois.twnic.net,网路中心whois server是whois.cnnic.net。当你知道某台主机 的Domain Name以后,可以依照下面顺序查出连线单位的电话住址等资料。
(1) 先看有没有国码。没有国码的,向whois.internic.net问;有国码的,向whois.国码nic.net问 (象whois.twnic.net)。另外,如果你要查美国军事单位的联络明细﹐则你需要向 nic.ddn.mil查询。查询时需注意: 由 DomainName查出资料, 如您能从nslookup查出某一IP地址之FQDN,则可以直接向当地NIC查出入侵者网路之资料:
E) 只有IP地址的查法
若你只知道IP地址﹐而不知道这是哪里的网路,而这个IP地址也没有Domain Name的话,则须先将IP地址分等级,再向InterNIC查询。
例如 15.4.75.2﹐此IP地址是15开头,为一个Class A网路,故向InterNIC查询15.0。
例如 140.111.32.53﹐此IP地址为Class B,需查询两次。先向InterNIC查询140.111.0:查出为那国所有。再用 whois.XXnic.net查询140.111.32.0。
例如﹐203.66.35.1﹐这是Class C IP,因此必须查询至少二次,一般是三次。顺序为国际->洲际->所属国家。先查203.0:出来一大堆,怎么办?有的情况只好再追ClassB。由于InterNIC将部分ClassC交给洲际管理机构来负责配给,因此有些ClassC的资料会在洲际管理机构,此时先向 InterNIC查出所属洲际管理机构(用ClassB问)。问到 203.66为亚太地区洲际网路,于是向whois.apnic.net询问 203.66.35.0:查了三次以后,终于查到203.66.35.0 为在一堆资料中查到203.66.35.1。
**在WINDOWS操作。
下面是Windows95的“hosts”档案:当您没有DNS的时候,可以拿这个来将DomainName<->IP地址的对应工作做好。写法就和UNIX样。
注:几乎所有使用TCP/IP通讯协定的机器都会有hosts﹐network等档案。这是所有TCP/IP系统的共通习惯(但只有Microsoft的软件会有lmhosts来配合Microsoft自己的wins域名解译系统)。如果读者有注意到的话,可以发现 Novell Netware服务器也有一个etc目录,还有hosts等档案!
大纪元版权所有,转载请注明出处。(http://www.dajiyuan.com)
